|
◆ IEEE802.1X : EAP-TLSの構築ポイント ( Windows ServerによるプライベートCAの利用時 )
一般的には、個人の持込PCの接続を防止するために、ユーザ認証だけでなく、コンピュータ認証を行うので、
Windows AD証明書サービスではコンピュータ証明書を発行します。ローカル環境(特定の範囲のアクセス)
でWindows PCをドメインに参加させて、その際にADからコンピュータ証明書とルート証明書を会社用の
PCに配布します。これによりその会社用PCは接続させて良いPCと証明されます。(クライアント認証の成功)
Radiusサーバ側はWindows AD証明書サービスが発行したサーバ証明書を保持しているので、クライアントは
配布されて保持しているルート証明書によりサーバ側が正しいサーバだと認識できます。(サーバ認証の成功)
◆ コンピュータ証明書の配布 - ポイント1
ローカル環境(特定範囲のアクセス)において、ADにログインするユーザ名とパスワードさえ知っていれば、
個人PCをローカル環境に接続して、コンピュータ証明書とルート証明書を受け取ることも可能ではあるので
情報システム部で、コンピュータ証明書とルート証明書をインストールしたPCを社員に配布するか、または、
ローカル環境(特定範囲のアクセス)に接続する際にスイッチポートに許可するMACアドレスを定義します。
◆ コンピュータ証明書の配布 - ポイント2
EAP-TLS認証を実装する場合、IEEE802.1X認証が有効ではないスイッチポートに Windows PC を接続させて
Windowsドメインに参加時(ログイン時)に、Windows Serverのポリシーでコンピュータ証明書を自動配布
して自動インストールさせることが一般的です。また、サーバ側で秘密鍵をエクスポートをできない状態で発行
することによって、秘密鍵をエクスポートできない状態でしか証明書をエクスポートできないので、秘密鍵の
ない証明書ファイルを不正に他のPCにインストールしてもEAP-TLS認証は成功しません(FQDNが一致しても)
◇ 証明書のエクスポート時の状態
適切にコンピュータ証明書を配布できている場合、証明書のエクスポート画面で以下の注意が出力されます。
メッセージ 注意 : 関連付けられた秘密キーにはエクスポート不可能フラグが付いています。証明書だけをエクスポートできます。
一方、証明書のエクスポート時に以下の注意が出力される場合はその証明書は有効な状態ではありません。
メッセージ 注意 : 関連付けられた秘密キーを検出できません。証明書だけがエクスポートされる可能性があります。
そして、秘密鍵つきの証明書をエクスポートできる状態の画面は以下の通りであり、何もメッセージが表示
されません。この状態の時、このコンピュータ証明書を秘密鍵付きでエクスポートできるので、例えば不正
に個人PCにインストールさせて、その個人PCのFQDN値と、証明書のFQDN情報を合致させれば不正接続が
成功する場合があります。システム管理者ではないエンドユーザが以下の状態の時はセキュリティ的に問題。
|